NTTデータ・セキュリティのサイト管理者によるコラムセキュリティ企業として「Web改ざん」について最適解を考えてみた
＜第一話＞「根本的な対策」とは？

本コラムは、Gumblarの脅威の一つである「Web改ざん」の対策にフォーカスをあてた内容になっています。

終わらないWeb改ざんの脅威

2010年を迎えて間も無く、日本の大手サイトが多数被害に遭い、今なお、猛威を振るっているコンピュータ・ウイルス、Gumblar。

FTPの情報を盗み出し、そのサイトを改ざんすることで、ほんの数時間前まで安全だったサイトを、アクセスしてきたユーザを悪意に満ち満ちた闇の入り口に追いやる、いわゆる「誘導サイト」へと仕立て上げるという手口で虎視眈々と獲物を狙っています。

　　

Gumblar騒動は一時期よりは、沈静化したように見えるかもしれませんが、実態はまだまだ深刻な状況です。特に個人ユーザのサイトや個人ユーザは対策がしっかりされていないケースが少なくありません。また、Gumblarは進化を続けており、未だに決定的な対策が見つかっていない状況です。

皆さんは、加害者であり被害者になりうる状況下にあります。 クライアントとサーバ、コンシューマと企業など、そのようなカテゴリーは関係なく悪意は無差別に攻撃してきます。 もちろん、私たちのようなセキュリティ企業も例外ではありません。

セキュリティ企業という立場から、私たちにとってこのようなウイルスは巨大な脅威となり得ます。 関係各所に対してもどのような対策を行っているのかといったことを回答しなければなりません。

そこで、今回を良い機会と捕らえ、現在、行っている対策に不十分な点がないかはもちろんのこと、追加で行えることはないか。一般的ではなくとも自サイトの環境にあった対策が行われているのか。というような議論が社内で起こりました。 そして、ある日、ある社員から弊社Webサーバへの 「根本的な対策」の提案があったわけです。

はじまりはある社員からの提案だった

ある社員からの提案は以下のようなものでした。

『お疲れ様です。

一般的な対策は、どこのサイトにも行える汎用的なものです。 それ自体はなんら問題はありません。

当社のサイトの特徴として以下の点が上げられます。

• 大手ECサイトのように大量のアクセス数ではない。
• 動的なコンテンツはなく、すべて静的なコンテンツである。
• CMSによる管理も行っていない。

これらから、「改ざんされない」ということを主眼に置いた 極端な対策から、実際の運用との兼ね合いを考慮しつつ 着地点を探していくというアクションを起こすというのはいかがでしょうか。 私は、お金をかけ、何らかの製品を導入するだけがセキュリティではないと思っています。

また、「Web改ざん」対策という意味では Gumblarだけが脅威ではありません。 その場しのぎではなく、恒久的な対策となりうる策が必要だと考えます。

修正プログラムの適用によりソフトウェアを最新に保つことや セキュリティを考慮した強固なパスワードの設定、不必要なサービスを外部に公開しないといったことによりある程度のセキュリティレベルを維持することができるでしょう。

しかし、それでも人が運用しているかぎり、どこが穴となり得るか分かりません。100%守りきれるとは言いがたいでしょう。

そこで、「Web改ざん」対策として極端な方法として、コンテンツをCD-Rなどに保存しマウントするという物理的に改ざん不可能な対策を行うところから始めてみませんか。

そして、少しでも世の中のセキュリティ向上の為に貢献するべく このアクションによって得られた情報をNDSのサイトで公開するということも 併せて行ってみてはいかがでしょうか。

以上、よろしくお願いします。』

このメールをきっかけにセキュリティ企業として、自社のシステムを使い 自社の最適解を探すという企画を進めるに至ったのです。

まずは運用性を犠牲にしてセキュリティ向上策をやってみる

今、皆さんがお読みになられているこのコンテンツも弊社Webサーバ上にマウントされた CD-Rに保存されたコンテンツです。今後、運用にかかる負荷、コストなどなど様々な情報をこのサイトで公開していきます。

CD-Rから別の方法に置き換える結果となるかもしれません。

そのまま運用に耐え、CD-Rのままかもしれません。 今後の情報にご期待ください。